Kryptogeld: Defi-Plattform Cream.Finance um Millionen bestohlen
Ein Bug erlaubte einem Angreifer, die Krypto-Kreditplattform Cream-Finance zu überlisten und Coins und Tokens im Wert von rund 30 Millionen Euro zu klauen.
(Bild: LightField Studios/Shutterstock.com)
Die Kryptokredit-Plattform Cream.Finance ist durch Ausnutzung einer Sicherheitslücke um Kryptogeld im derzeitigen Wert von rund 30 Millionen Euro beraubt worden. Insgesamt konnten die unbekannten Angreifer am vergangenen Dienstag insgesamt rund 462 Millionen AMP-Tokens (aktuell rund 21,48 Millionen Euro) sowie 2804,96 Ether (derzeit 8,84 Millionen Euro) einstecken.
Die ausgenutzte Lücke habe einen sogenannten Reentrancy-Angriff ermöglicht, führt Cream.Finance in einem Blogbeitrag aus. Mit einem solchen Angriff lassen sich etwa Funktionen wieder und wieder ausführen, ohne dass der Kontostand im Funktionsaufruf aktualisiert wird. Bekanntestes Beispiel für solche Angriffe ist der spektakuläre Untergang des millionenschweren DAO-Projekts. Bei Cream.Finance hätten die Angreifer eine Kreditvergabefunktion austricksen können und so mehr Geld als vorgesehen erhalten, heißt es weiter. Insgesamt sei es so zu 17 missbräuchlichen Transaktionen gekommen; ebenfalls habe es wohl einen Nachahmungstäter gegeben.
Coins sollen erstattet werden
Cream.Finance hat sich auf Kreditgeschäfte mit Kryptogeld spezialisiert und ordnet sich den sogenannten Defi-Plattformen zu. Nutzerinnen und Nutzer können darüber Kryptogeld verzinst verleihen oder Kredite nehmen. Defi steht für Decentralised Finance, also den Versuch auf Basis von Smart Contracts auf dezentralen Blockchains wie Ethereum neue, automatisierte Finanzdienstleistungen zu schaffen.
Das Problem lag offenbar in der Implementierung des nach ERC-777-Standard geschaffenen AMP-Tokens ins eigene Protokoll, erklärte Cream.Finance. Das habe man mit Hilfe der Sicherheitsfirma Peckshield herausgefunden. Bis es einen Patch für die Lücke gebe, seien die Kreditfunktionen rund um die AMP-Tokens erst einmal gesperrt. Allen Betroffenen solle der Verlust in Ether und AMP erstattet werden, erklärte Cream.Finance. Finanziert werden soll das, indem man 20 Prozent der vom Dienst vereinnahmten Gebühren für die Rückzahlung reserviert.
Raubzüge im Defi-Land
Es ist bereits der zweite schwere Sicherheitsvorfall bei Cream.Finance innerhalb der vergangenen sechs Monate. Im Februar war es Angreifern gelungen, Creams Plattform Ironbank um Kryptogeld im Wert von rund 38 Millionen US-Dollar zu erleichtern. Der Angriff erfolgte allerdings über einen Kryptodienst der Firma Alpha Finance, mit dem man zusammenarbeitete.
Generell scheint das Defi-Ökosystem ein beliebtes Angriffsziel zu sein. Erst im August gelang es einem Hacker, die Plattform Polynetwork um Coins im damaligen Wert von über 600 Millionen US-Dollar zu bestehlen. Allerdings erwies sich der Hacker als freundlich gesinnt und gab nach und nach die abgezogene Summe zurück. Polynetwork hatte ihm eine Stelle als Sicherheitsberater angeboten; ob der Hacker das annahm, blieb offen.
Auf einen freundlichen White-Hat-Hacker hofft wohl auch Cream.Finance: Sollte der Hauptangreifer bereit sein, das Geld wieder zurückzugeben, werde man das mit 10 Prozent der Summe als reguläres Bug Bounty belohnen, ohne dass irgendwelche Konsequenzen drohten. Zugleich lobte die Kryptoplattform aber auch eine Belohnung aus auf Hinweise zur Ergreifung des Täters führten. Hier wolle man 50 Prozent der zurückerhaltenen Summe mit Tippgebern teilen.
(axk)
